现漏洞 甲骨文 Access Manager 黑客连管理员账号都能霸占 (漏 甲骨文)
雷锋网消息,据外媒美国时间5月3日报道,来自 SEC 漏洞咨询实验室安全研究人员 Wolfgang Ettlinger在甲骨文 Access Manager(以下简称 OAM)上发现了一个安全漏洞,黑客可以利用它远程绕过身份验证程序,接管任何用户的账号。如果黑客愿意,他们连管理员的账号都能霸占。
OAM 不但支持多重身份验证(MFA),还能实现 Web 单点登录(SSO)。此外,会话管理、标准 SAML 联盟和 OAuth 等安全防护一应俱全,方便用户安全的访问移动应用和外部云存储。 不过,这样严密的防护依然存在漏洞。
这次发现的漏洞代号为 CVE-2018-2879,与 OAM 使用的一种有缺陷的密码格式有关。
“OAM 是甲骨文 Fusion Middleware 的组成部分之一,后者负责掌控各种类型网络应用的认证。”SEC 的 Ettlinger解释道。
“我们会通过展示证明加密实现的小特性是如何对产品安全造成实际影响的。 只要利用了这一漏洞,我们就能制作任意的身份验证令牌来扮演任何用户,同时还能有效的破坏 OAM 的主要功能。 ”Ettlinger 说道。
Ettlinger 解释称,攻击者可以利用该漏洞找到 OAM 处理加密信息的弱点,诱使该软件意外透露相关信息,随后利用这些信息冒充其他用户。
攻击者能组织一场填充攻击,使甲骨文披露账户的授权 Cookie。随后它就能制作出能生成有效登陆密匙的脚本,想冒充谁就冒充谁。
“在研究中我们发现,OAM 用到的密码格式有个严重的漏洞,只要稍加利用,我们就能制作出会话令牌。拿这个令牌去骗 WebGate 一骗一个准,想接入受保护的资源简直易如反掌。”Ettlinger 解释道。“更可怕的是,会话 Cookie 的生成过程让我们能冒充任意用户名搞破坏。”
雷锋网了解到, OAM 11g 和 12c 版本都受到了该漏洞的影响。
Ettlinger 去年 11 月就将该漏洞报告给了甲骨文,不过 IT 巨头在今年 4 月的补丁更新中才解决了在这一问题。如果你也在用 OAM,还是抓紧时间打补丁来封堵漏洞吧。
雷锋网Via. Security AffAirs
原创文章,未经授权禁止转载。详情见 转载须知 。
本文地址: https://www.gpxz.com/article/83e209f2ae14924185f2.html
IP地址查询--手机号码查询归属地|邮政编码查询|长途电话区号|身份证号码验证在线查询网
蓝湖是一款产品文档和设计图的共享平台,帮助互联网团队更好地管理文档和设计图。蓝湖可以在线展示Axure,自动生成设计图标注,与团队共享设计图,展示页面之间的跳转关系。蓝湖支持从Sketch、Ps一键共享、在线讨论,而且蓝湖只需简单几步就能将设计图变成一个可以点击的演示原型,蓝湖还支持分享给同事,让他也可以在手机中查看设计效果。蓝湖已经成为新一代产品设计的工作方式。
VOA,美国之音,听力下载.
360手机助手是中国最大最安全的安卓Android手机应用市场,提供丰富的安卓应用下载,主题下载,手机壁纸下载,手机电影视频下载,小说下载等。所有应用均通过360安全检测,绿色无毒。
星空体育直播平台●易记网址⎝⎛✳️【tb68.vip】✅⎞⎠◥「100万!必胜!」我在不到2个月到手177万♛Ranger说一定要坚持,本金要足。用10万搏100万概率非常高。认准的不要轻易动摇,制胜法宝是倍投不能丢,耐心看路子,看准时机重注必不可少。✿◠‿◠✿马上暴富♛我们是行业领先的新型游戏产业公司,当前行业公认的优质品牌网站。网站IOS,安卓通用版,手机APP下载入口,地址,注册,登陆,最新网页,官网入口,app下载,手机网页版登录,真人、体育、电竞、DOTA2、CSGO、KPL、彩票、棋牌、电子游戏网址,等多种分支业务遍布东南亚、欧洲和北美,专注专业专心耕耘
河南华表仪控官网
一站加密文加解密平台,数据库庞大且不停更新中,做成功率更高的MD5加解密,做速度更快的MD5加解密,做体验更好的MD5加解密
佳怡物流成立于1999年,总部位于山东济南,是国家5A级物流企业、中国民营物流企50强、改革开放40年中国物流杰出企业,专注于提供以供应链物流为核心的一站式供应链解决方案。
苏州雄泽包装有限公司拥有精良多色,多功能的双色印刷流水线以及薄刀分切压痕机,两台平压磨切机和钉箱机、吸塑泡壳等专业设备,并配备完善的检测设备工具,是一家吸塑包装生产厂家、吸塑包装厂家。
上海到武汉物流公司,上海到武汉物流专线,上海到武汉货运专线,提供仓储、配送、货物运输、上海大件运输,货运代理、停车配载、物流方案策划等物流运输服务。
广东柏澳肠道微生物研究中心在南方医科大学著微生物研究专家,黎梅兰教授教的领导下,经过二十多年的心血默默耕耘,开发的一款适合中国人肠道健康的益生菌——优质元益生菌饮品
路路通财税公司专业办理潍坊公司注册,潍坊营业执照办理,潍坊代理记账,潍坊记账报税,潍坊会计报税,代理记账的财务公司,电话13953608137。
12月13日,谷歌透露了其街景车,StreetViewcar,等设备为绘制世界地图所做的工作,目前,谷歌已经捕获了超过1000万英里的街景图像,这个距离相当于绕地球400圈,旗下航空地图服务谷歌地球,GoogleEarth,目前拥有总计3600万平方英里的卫星图像供人们浏览,这些图像让谷歌的地图绘制覆盖了世界人口居住地区的98%,据科...。
随着政策的开放,儿童数量显著增加,很多有眼力的智慧之选商看中了其中的市场前景,走想要开一家童装品牌店,在众多的品牌中,不知道如何选择,市场上儿童品牌童装店不断增加,儿童童装品牌众多,目前童装市场上,店铺太多,市场竞争也相当的激烈,如何选择具有市场竞争力的品牌是智慧之选商比较关注的问题,好的项目直接关呼以后的生意好坏,那么儿童装品牌有哪...。
南海网12月3日消息,记者王子遥,2024年第27届中国,海南,国际热带农产品冬季交易会,以下简称,冬交会,将于12月5日,8日在海南国际会展中心举办,记者从本届冬交会组委会获悉,广西、深圳将以展团形式亮相本届冬交会,组织多家企业携优质产品共同参展,积极参加展会期间各类交流洽谈与合作活动,据了解,广西展团参展企业以茶类企业为主,包括...。
在2024上半年并算不明朗的AI应用局势中,AI搜索正成为新共识并迎来了一波热潮,短时间内涌现出了多个AI搜索产品,其中,国外原生AI搜索工具PerplexityAI最新估值已经接近30亿美元、GenSpark、You均表现不俗;国内天工AI、秘塔搜索等也在打磨自身产品力,AI搜索不仅在产品形态上革新了传统搜索引擎的信息罗列模式以及备...。
IBM的人工智能Watson在公众认知中,不算特别令人兴奋,但绝对是最,勤劳,的,特别是在医疗方面,仅今年IBM就分别以26亿和10亿美元,收购了医疗数据公司Truven和医疗影像与临床系统提供商MergeHealthcare,医疗领域很可能是Watson最重要的应用方向,那IBM当初为何选中了医疗,其历史发展又是如何呢,在今年的20...。
外地期间11月11日,日外国会众议院及参议院将举办首相指名选举,因为自民党及公明党组成的执政联盟在此前的众议院选举中未取得过半数席位,这给本次首相指名选举带来变数,依照规定和流程,首相指名选举依照先众议院后参议院的顺序启动,在第一轮投票中取得半数以上有效选票的人获胜,日本多家媒体预测,在众议院首轮投票中,或者不可间接决出输赢,决胜轮投...。
全球时报,全球网报道记者白云怡,在12日的外交部例行记者会上,有媒体提问称,菲律宾国防部长吉尔伯特·特奥多罗当天示意,中国正对菲律宾施加越来越大的压力,试图让菲律宾丢弃其在南海的主权权益,他还称菲律宾是所谓,中国侵略,的受益者,中方对此有何评论,对此,中国外交部发言人林剑回应示意,针对菲方无关人士的舆论,我要指出的是,每一次性中菲海...。
从宋代,海上丝绸之路,的兴盛到,郑和下东洋,的巅峰,以史为鉴,向海而兴,背海而衰,21世纪,人类进入了大规模开发应用陆地的时间,2013年,中国提出共建,21世纪海上丝绸之路,,咱们用千年智慧和航海阅历凝固的这条,路,,,含金量,还在始终回升……国际航海日的由来国际航海日是由政府主导、全民参加的全民性文化范畴的全国性法定活动日,既是所...。
赛拉图波箱油是车辆保养中无法或缺的一局部,它有助于缩小变速箱内齿轮的磨损,从而延伸变速箱的经常使用寿命,关于赛拉图车型,倡导每2年或行驶4万公里时改换一次性波箱油,波箱油在变速箱中施展着润滑和冷却的作用,确保齿轮在运转环节中的顺畅和稳固,无论是智能挡还是手动挡车型,都须要活期改换波箱油,以赛拉图2012款MTGL1.6L为例,该车是一...。
意思,n.参观;感谢;鉴识;评估;增值读音,英[əˌpriːʃieɪʃn];美[əˌpriːʃieɪʃn]双数,appreciations用法,Appreciationofsth动词,appreciate的基本意思是,高度评估某事物,,可示意对某事物了解深入而能鉴赏或参观其价值,特意是美学价值,有时还可示意十分青睐、十分感谢的意思,引...。
MAXQDA中文破解版是一款非常专业的复杂的定性数据分析软件,可用于处理从文档文本到复杂的电子表格、访谈或焦点小组数据、调查
菜鸟裹裹情人节免费寄件怎么参加?情人节马上就要到了,菜鸟裹裹也推出了情人节最新活动用户只要在情人节当天寄件,就会享受免费邮寄的活动,下面跟着小编具体了解一下吧。 菜鸟裹裹情人节免费寄件图片 菜鸟裹裹寄件优惠月,情人节免费寄件,2.15起寄件新
随着天气变得炎热起来,汽车作为人类的第三空间,意味着每天有很大一部分时间都会在车内度过,闲置的汽车空调也要开始用起来了,理想的姿势应该是这样的,炎热的夏天,吹着凉风,带上一家人出去踏青出游,感受大自然的美,而现实却是刺鼻的异味让您窒息,比马桶还脏的细菌滋生物、霉菌、空调不制冷等等因素,想摆脱这样的痛苦吗,汽车空调真的有那么脏吗,答案是...。
据企查查显示,9月4日深圳市灵明光子科技有限公司发生一则工商变更,原股东JamesHarris退出,新增OPPO广东移动通信有限公司,持股3%,其中,JamesHarris是灵明光子创始团队人员之一,为美国工程院院士、斯坦福大学电子教授,该公司的其他三名创始人贾捷阳、臧凯、李爽均为JamesHarris的学生,共同创业之前曾在斯坦福大...。
谷歌母公司Alphabet已经踏入轻代码开发的舞台,据国外媒体报道,该公司近日为软件开发者带来了一款基于谷歌SaaS程序GSuite的应用AppMaker,这款号称,傻瓜式,的轻代码H5应用开发服务,能够让用户根据企业的需求快速地创建和部署一些个性化程序应用,只需要少量,甚至不需要,编程,比如一些企业管理者想要寻求更好的方式来批准员工...。
酸奶是以新鲜的牛奶为原料,经过巴氏杀菌后再向牛奶中添加有益菌,发酵剂,,经发酵后,再冷却灌装的一种牛奶制品,目前市场上酸奶制品多以凝固型、搅拌型和添加各种果汁果酱等辅料的果味型为多,酸奶不但保留了牛奶的所有优点,而且某些方面经加工过程还扬长避短,成为更加适合于人类的营养保健品,...。
雷锋网讯,2019年1月8日,CES2019,HTCVIVE推出全新硬件设备、软件服务以及内容产品,同时,HTC全球VR应用商店VIVEPORT发布了ViveportInfinity会员服务,其用户可随时畅享会员库内所有内容,此外,HTC还公布了其下一代VR头显VIVECOSMOS的开发者套件、Vive沉浸式系统ViveReality...。
